AUDITORA DE BASES DE DATOS

Michel Martinez Sergio Andres Castao Juan Pablo Ospina

Qu es la Auditora de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos incluyendo la capacidad de determinar:
Quin accede a los datos Cundo se accedi a los datos Desde qu tipo de dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos

Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a TI por la organizacin frente a las regulaciones y su entorno de negocios o actividad.

La Auditora de BD es importante porque:

Toda la informacin financiera de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin. La informacin confidencial de los clientes, es responsabilidad de las organizaciones.

 Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quin o qu les hizo exactamente qu, cundo y cmo. La auditora de la bases de datos se realiza en base a una metodologa. Dicha metodologa deriva de un marco de buenas prcticas en seguridad de base de datos aplicado sobre la documentacin de la versin de la base de datos auditada.

Mediante la auditora de bases de datos se evaluar:

Definicin de estructuras fsicas y lgicas de las bases de datos.
Control de carga y mantenimiento de las bases de datos. Integridad de los datos y proteccin de accesos. Estndares para anlisis y programacin en el uso de bases de datos. Procedimientos de respaldo y de recuperacin de datos.

Aspectos Claves
No se debe comprometer el desempeo de las bases de datos
Soportar diferentes esquemas de auditora Se debe tomar en cuenta el tamao de las bases de datos a auditar

Segregacin de funciones
El sistema de auditora de base de datos no puede ser administrado por los DBA del rea de TI

Proveer valor a la operacin del negocio

Informacin para auditora y seguridad Informacin para apoyar la toma de decisiones de la organizacin Informacin para mejorar el desempeo de la organizacin

Auditora completa y extensiva

Cubrir gran cantidad de manejadores de bases de datos Estandarizar los reportes y reglas de auditora

Planificacin de la Auditoria de BD
1. Identificar todas las bases de datos de la organizacin 2. Clasificar los niveles de riesgo de los datos en las bases de datos 3. Analizar los permisos de acceso 4. Analizar los controles existentes de acceso a las bases de datos

5. Establecer los modelos de auditora de BD a utilizar

6. Establecer las pruebas a realizar para cada BD, aplicacin y/o usuario

Metodologas para la auditora de Base de Datos

Metodologa Tradicional El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigacin. Metodologa de evaluacin de riesgos Esta metodologa empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno.

Considerando los riesgos de:

Accesos no restringidos en la figura del DBA Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalacin Impactos de los errores en Datos y programas Rupturas de enlaces o cadenas por fallos del software. Impactos por accesos no autorizados Dependencias de las personas con alto conocimiento tcnico

Metadatos:
Son datos que describen otros datos, pueden describir colecciones de objetos y tambin los procesos en los que estn involucrados, describiendo cada uno de los eventos, sus componentes y cada una de las restricciones que se les aplican.